Роль персонала в системе защиты информации
Системы защиты и охраны проектируют, строят и используют люди, обслуживают технику и технологический процесс любого предприятия также люди. Они должны быть надежны: честны, внимательны, аккуратны и исполнительны. Самая высокая задача в охране и защите информации предприятия - обеспечение надежности обслуживающего персонала.
Обеспечение надежности персоналаслужбы защиты информации – это совокупность мер, включающих в себя анализ и оценку степени честности и благонадежности сотрудников с целью гарантировать защиту информации, обеспечить ее целостность и конфиденциальность.
К мерам по обеспечению надежности персонала относятся:
· выполнение обязательств сотрудниками в том, что они будут обеспечивать защиту и тайну информации, к которой они имеют доступ в силу своих профессиональных обязанностей;
· создание благоприятного производственного климата для всех сотрудников службы безопасности.
Согласно существующей статистике, в коллективах людей, занятых той или иной деятельностью, как правило, только около 85% являются вполне лояльными,а остальные 15% делятся примерно так: 5% – могут совершить что-нибудь противоправное, если, по их представлениям, вероятность заслуженного наказания мала; 5% – готовы рискнуть на противоправные действия, даже если шансы быть уличенным и наказанным складываются 50 на 50%; 5% – готовы пойти на противозаконный поступок, даже если они почти уверены в том, что будут уличены и наказаны. Такая статистика в той или иной мере может быть применима к коллективам, участвующим в разработке и эксплуатации информационно-технических составляющих компьютерных систем.
Таким образом, можно предположить, что не менее 5% персонала, участвующего в разработке и эксплуатации программных комплексов, способны осуществить действия криминального характера из корыстных побуждений либо под влиянием каких-нибудь иных обстоятельств.
Имеющийся зарубежный и отечественный опыт защиты производственных и коммерческих секретов свидетельствует, что без активного вовлечения в этот процесс всех сотрудников, имеющих доступ к конфиденциальной информации, результат не может быть полным. Специалисты по защите информации приводят данные, утверждающие, что определяющей фигурой в обеспечении сохранности ценных сведений предприятия является его сотрудник. Анализ угроз информации позволил выделить следующие виды угроз информационным ресурсам – по возрастанию степени их опасности:
1) некомпетентные служащие;
2) хакеры и крекеры;
3) неудовлетворенные своим статусом служащие;
4) нечестные служащие;
5) инициативный шпионаж;
6) организованная преступность;
7) политические диссиденты;
8) террористические группы.
Угроза, исходящая от некомпетентности служащих, по мнению экспертов, основывается на алгоритмической уязвимости информационных систем, которая не исключает возможности некомпетентных действий и может привести к сбоям системы.
Неудовлетворенные служащие также предоставляют внутреннюю угрозу. Они опасны тем, что имеют легальный доступ. То же можно сказать и про нечестных служащих.
В связи с этим представляется целесообразным с целью обеспечения информационной безопасности коммерческих структур уделять большее внимание подбору и изучению кадров, проверке любой информации, указывающей на их сомнительное поведение и компрометирующие связи.
Следует особо подчеркнуть, что наиболее неуправляемым элементом в системе защиты информации является персонал. Правильная кадровая политика и организация управления персоналом позволяют снизить риски этого фактора. Задача обеспечения информационной безопасности должна решаться на всех уровнях управления предприятием. Рассмотрим их более подробно в трех направлениях.